[FR] Note de position | [EN] Position paper
RGPD: réviser pour simplifier
La protection des données personnelles doit demeurer un atout de confiance et de compétitivité, non un frein à l'innovation
Le projet d'Omnibus numérique est une occasion à saisir, à condition d'aller au bout de l'ambition de simplification qu'il affiche.
Dix ans après son adoption et huit ans après son entrée en application, le Règlement général sur la protection des données (RGPD) fait l'objet d'un nécessaire réexamen. La Commission européenne a engagé ce chantier via son projet d'Omnibus numérique, publié en novembre 2025, qui vise à simplifier plusieurs obligations, clarifier certaines zones grises et alléger la charge administrative pesant sur les entreprises.
La villa numeris, qui mène des travaux sur l'évolution du RGPD depuis l'été 2025, publie ce position paper fondé sur des auditions de dirigeants d'entreprises, de juristes, de délégués à la protection des données et de représentants d'autorités publiques, conduits sous la direction de Jeanne Bossi Malafosse, avocate au Barreau de Paris.
Ce que nous saluons. Le projet d'Omnibus apporte des avancées concrètes que La villa numeris salue telle que la clarification du statut des données pseudonymisées, alignée sur l'arrêt SRB de la Cour de justice de l’Union européenne (CJUE) du 4 septembre 2025 ; la présomption de compatibilité pour la réutilisation des données à des fins de recherche scientifique ; la reconnaissance explicite de l'intérêt légitime comme base légale pour l'entraînement des modèles d'IA ; l'extension du délai de notification des violations à 96 heures ; et l'effort de rationalisation des obligations d'information aux personnes concernées.
Ce que nous appelons à corriger. Plusieurs dispositions restent insuffisantes ou mal calibrées. La définition de la « recherche scientifique » doit être explicitement étendue aux recherches à financement privé pour garantir la sécurité juridique des investisseurs. Le test de mise en balance pour l'intérêt légitime doit intégrer les intérêts des tiers. Le traitement des données sensibles pour l'IA mérite un cadre par les risques plus opérationnel.
Les occasions manquées. L'Omnibus ne saisit pas toutes les opportunités qu'il ouvre. La gouvernance du Comité européen de la protection des données (CEPD) reste insuffisamment réformée. La directive e-Privacy n'est pas véritablement intégrée au RGPD : la duplication des règles sur les cookies crée de nouvelles asymétries plutôt qu'elle ne les supprime. Le mécanisme de consentement centralisé au niveau du navigateur, tel que proposé, est à la fois techniquement inapplicable et économiquement dangereux pour la presse, les éditeurs et les PME. L'harmonisation des procédures contentieuses entre les 27 Etats membres reste absente.
>> Télécharger >> Download
:: Pour aller plus loin
- Digital Omnibus Regulation Proposal. «(...) pour apporter un soulagement immédiat aux entreprises, aux administrations publiques et aux citoyens, afin de stimuler la compétitivité» >> Télécharger
- «RGPD: simplifier sans trahir». La chronique de David Lacombled dans l’Opinion >> Lire
- «RGPD: le retour du bon sens». La chronique de David Lacombled dans l’Opinion >> Lire
- «RGPD: 5 ans, ça se fête?» Notre rapport paru en 2023 >> Lire
- «Pour un cadre juridique stable du transfert international de données». Notre note de position publiée en 2022 >> Lire